A GDPR alapelvként rögzíti, hogy a személyes adatoknak az Unión kívülre történő továbbítása esetén sem sérülhet a természetes személyeknek az EU-ban biztosított védelem szintje. Az adattovábbítás csak megfelelő jogi garanciák megléte esetén jogszerű.
Személyes adatok EU-n kívülre történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély. Ilyen döntés nyomán továbbítható személyes adat az Egyesült Államokba (Privacy Shield, korábban Safe Harbor). A biztonságos országok listája a Bizottság honlapján megtalálható. A fenti döntés hiányában személyes adat akkor továbbítható az Unión kívülre, ha
- az Európai Bizottság által elfogadott általános adatvédelmi szerződéses kikötéseket alkalmazzák a felek
- olyan kötelező erejű vállalati szabályokat (BCR) vezet be egy vállalkozás, amelyet azadatvédelmi hatóság jóváhagyott
- jóváhagyott magatartási kódexhez csatlakozott vállalkozásnak kerül továbbításra
- jóváhagyott tanúsítási mechanizmussal rendelkező vállalkozásnak továbbítják.
A fenti garanciák hiányában az Unión kívülre akkor lehet személyes adatot továbbítani, ha
- az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról
- az adattovábbítás szerződés teljesítéséhez szükséges
- az adattovábbítás fontos közérdekből szükséges
- az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges
- az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására
- a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja.
Teendők
- az EU-n kívülre továbbított adatok feltérképezése
- az adattovábbítások jogalapjának felülvizsgálata
- a bizottsági megfelelőségi döntések folyamatos nyomon követése